Gegevensbewaring bij stemprocedures

Inhoud

• Wat is gegevensbewaring bij stemprocedures?
• Soorten verkiezingsgegevens
• Wettelijke bewaarvereisten
• AVG en gegevensbewaring
• Bewaartermijnen per gegevenstype
• Veilige gegevensopslag
• Procedures voor gegevensverwijdering
• Bewaring van audit trails
• Uitdagingen bij gegevensbewaring
• Beste praktijken voor beheer van verkiezingsgegevens

---

Gegevensbewaring bij stemprocedures verwijst naar de beleidslijnen en praktijken die bepalen hoe lang verkiezingsgerelateerde gegevens worden opgeslagen nadat een verkiezing is afgelopen. Organisaties moeten een evenwicht vinden tussen de noodzaak om gegevens te bewaren voor wettelijke naleving, geschillenbeslechting en auditdoeleinden, en de verplichting om persoonlijke gegevens te verwijderen wanneer deze niet langer nodig zijn — vooral onder de AVG.

Wat is gegevensbewaring bij stemprocedures?

Elke online verkiezing genereert gegevens: kiezerslijsten, authenticatielogs, versleutelde stemmen, resultaten en systeemlogs. Gegevensbewaringsbeleid definieert hoe lang elke categorie gegevens wordt bewaard, hoe deze wordt beschermd tijdens opslag, en wanneer en hoe deze veilig wordt verwijderd. Dit beleid moet voldoen aan de toepasselijke wetgeving en tegelijkertijd de governancebehoeften van de organisatie ondersteunen.

Soorten verkiezingsgegevens

Online verkiezingen produceren meerdere categorieën gegevens met verschillende bewaarbehoeften:

• Kiezersregistratiegegevens: Namen, e-mailadressen, toegangsstatus
• Authenticatielogs: Inloggegevens, twee-factor authenticatie evenementen
• Stembedgevens: Versleutelde stemmen en bijbehorende cryptografische bewijzen
• Resultaatgegevens: Stemtotalen, meerderheidsberekeningen, uitslagrecords
• Systeemlogs: Technische logs van platformactiviteiten en gebeurtenissen
• Verkiezingsprotocollen: Formele documentatie van het verkiezingsproces
• Communicatiegegevens: Uitnodigingen, herinneringen en meldingen verzonden naar kiezers

Wettelijke bewaarvereisten

Bewaarvereisten variëren per rechtsgebied en type organisatie:

• Vennootschapsrecht: Aandeelhoudersstemmen moet mogelijk 10 jaar of langer worden bewaard
• Verenigingsrecht: Notulen van vergaderingen en verkiezingsresultaten moeten vaak voor de gehele levensduur van de organisatie worden bewaard
• Arbeidsrecht: Gegevens van ondernemingsraadverkiezingen kunnen specifieke bewaartermijnen vereisen
• Belastingrecht: Financiële besluiten goedgekeurd door stemming moeten mogelijk worden bewaard voor belastingnaleving
• Verkiezingsregels: Sommige rechtsgebieden specificeren minimale bewaartermijnen voor verkiezingsdocumentatie

AVG en gegevensbewaring

Het opslagbeperkingsprincipe van de AVG (Artikel 5(1)(e)) vereist dat persoonlijke gegevens alleen worden bewaard zolang noodzakelijk is voor het doel waarvoor ze zijn verzameld. Voor verkiezingsgegevens betekent dit dat persoonlijke gegevens van kiezers moeten worden verwijderd zodra het verkiezingsdoel is verwezenlijkt, er moet een specifieke wettelijke basis zijn voor bewaring, betrokkenen (kiezers) moeten worden geïnformeerd over bewaartermijnen, en anonimisering moet worden overwogen als alternatief voor verwijdering wanneer geaggregeerde gegevens nog nodig zijn.

Bewaartermijnen per gegevenstype

Verschillende gegevenscategorieën vereisen verschillende bewaartermijnen:

• Persoonlijke gegevens van kiezers: Verwijder na afloop van de bezwaartermijn (meestal 30–90 dagen na de verkiezing)
• Authenticatielogs: Bewaar gedurende de duur van een mogelijke betwistingstermijn
• Versleutelde stemmen: Bewaar tot de resultaten zijn gecertificeerd en de eventuele bezwaartermijn is verstreken
• Resultaatgegevens: Bewaar voor de vereiste archiefperiode van de organisatie (vaak jaren)
• Verkiezingsprotocollen: Permanent bewaren als onderdeel van de organisatiedocumenten
• Systeemlogs: Bewaar voor een beperkte periode voor technische probleemanalyse (30–90 dagen)

Veilige gegevensopslag

Tijdens de bewaartermijn moeten verkiezingsgegevens veilig worden opgeslagen:

• Encryptie in rust: Alle opgeslagen gegevens moeten versleuteld zijn
• Toegangscontroles: Alleen bevoegde personen mogen toegang hebben tot verkiezingsgegevens
• Scheiding: Verkiezingsgegevens moeten apart van andere organisatiedata worden opgeslagen
• Back-upbescherming: Back-ups moeten onder hetzelfde bewarings- en verwijderingsbeleid vallen
• Geografische locatie: De locatie van de gegevenshosting moet voldoen aan regelgeving voor grensoverschrijdende gegevensoverdracht

Procedures voor gegevensverwijdering

Wanneer de bewaartermijn vervalt, moeten gegevens veilig worden verwijderd:

• Cryptografisch wissen: Vernietiging van encryptiesleutels maakt versleutelde gegevens permanent ontoegankelijk
• Veilig overschrijven: Meerdere overschrijvingsacties zorgen ervoor dat gegevens niet kunnen worden hersteld
• Certificaat van verwijdering: Documenteren dat de verwijdering correct is uitgevoerd
• Opruiming van back-ups: Zorgen dat verwijderde gegevens ook uit back-ups worden verwijderd
• Verificatie: Bevestigen dat de verwijdering compleet en onomkeerbaar was

Bewaring van audit trails

Hoewel persoonlijke gegevens van kiezers volgens het bewaringschema moeten worden verwijderd, kunnen bepaalde audit trail-elementen langer bewaard moeten blijven voor governance-doeleinden. De uitdaging is om voldoende informatie te behouden om aan te tonen dat de verkiezing correct is uitgevoerd, terwijl gegevens die individuele kiezers of hun keuzes kunnen identificeren, worden verwijderd.

Uitdagingen bij gegevensbewaring

Organisaties staan voor verschillende uitdagingen bij het beheren van gegevensbewaring voor verkiezingen:

• Conflicterende vereisten: Verschillende wetten kunnen verschillende bewaartermijnen voor dezelfde gegevens specificeren
• Voortdurende geschillen: Juridische uitdagingen kunnen vereisen dat bewaartermijnen worden verlengd
• Technische complexiteit: Zorgen voor volledige verwijdering in alle systemen en back-ups
• Grensoverschrijdende overwegingen: Internationale organisaties kunnen worden geconfronteerd met verschillende vereisten per rechtsgebied
• Legacy-data: Historische gegevens van vóór de invoering van het bewaarbeleid

Beste praktijken voor beheer van verkiezingsgegevens

Organisaties moeten een duidelijk beleid voor gegevensbewaring opstellen voordat ze online verkiezingen houden, de wettelijke basis voor elke bewaartermijn documenteren, geautomatiseerde verwijderingsschema's in het stemplatform implementeren, geanonimiseerde resultaatgegevens apart houden van persoonlijke gegevens, regelmatig de naleving van het bewaarbeleid controleren en de bewaarbeleid communiceren aan kiezers via privacyverklaringen.